Microsoft-Sicherheitsoffensive legt DocuSign-E-Mails lahm

Verträge im Quarantäne-Ordner statt im Posteingang: Microsoft Defender blockiert massenhaft legitime DocuSign-Nachrichten.

Was wie ein Softwarefehler aussieht, entpuppt sich als Kollateralschaden einer Sicherheitsoffensive. Während Microsoft seinen E-Mail-Schutz verschärft, um aktive Cyberangriffe abzuwehren, landen geschäftskritische Nachrichten in der Quarantäne. Die Folge? Verzögerte Vertragsunterschriften und frustrierte IT-Abteilungen.

Der Auslöser: Eine chinesische Hackergruppe nutzt derzeit eine Windows-Sicherheitslücke für gezielte Angriffe. Microsofts Antwort fällt drastisch aus – womöglich zu drastisch.

Seit Dienstag häufen sich die Meldungen: Authentische E-Mails von DocuSign erreichen ihre Empfänger nicht mehr. Stattdessen fängt Microsoft Defender for Office 365 die Nachrichten ab und stuft sie als Sicherheitsbedrohung ein.

IBM bestätigte das Problem am 25. November als “bekanntes Problem”. Die Ursache liegt in den Safe-Links- und Anti-Phishing-Filtern von Defender, die plötzlich die eingebetteten URLs in DocuSign-Vorlagen als gefährlich einstufen.

Passend zum Thema E‑Mail‑Quarantäne und gezielte LNK‑Angriffe: Viele Unternehmen sind bei aktuellen Bedrohungen unvorbereitet. Ein kostenloses E‑Book zeigt praxisnahe Maßnahmen, mit denen IT‑Teams Phishing‑Wellen und Zero‑Hour‑Auto‑Purge‑Effekte abwehren können. Enthalten sind Checklisten für Incident‑Response, konkrete Schritte zur Härtung von E‑Mail‑Ketten und Sofortmaßnahmen für Administratoren. Kostenlosen Cyber-Security-Report für Unternehmen sichern

Besonders brisant: Microsoft entfernt teilweise sogar bereits zugestellte E-Mails nachträglich aus den Postfächern. Diese “Zero-hour Auto Purge” genannte Funktion bewertet Nachrichten im Nachhinein neu – und löscht sie bei Verdacht. Für Unternehmen, die auf zeitkritische Vertragsabschlüsse angewiesen sind, bedeutet das erhebliche Verzögerungen.

Administratoren berichten in Foren, dass sie jeden Tag manuell Dutzende Nachrichten aus der Quarantäne befreien müssen. Der empfohlene Workaround – DocuSign-Domains auf eine Erlaubnisliste setzen – birgt allerdings Risiken: Betrüger nutzen gefälschte DocuSign-Mails seit Jahren für Phishing-Angriffe.

Die Ursache: Chinesische Hacker greifen Windows an

Was hat Microsoft zu diesem radikalen Schritt bewogen? Die Antwort findet sich in der aktuellen Bedrohungslage.

Sicherheitsforscher dokumentieren derzeit aktive Angriffe der Hackergruppe UNC6384 mit Verbindungen nach China. Die Angreifer nutzen eine kritische Schwachstelle im Windows-LNK-Format – jenen Dateien, die als Verknüpfungen auf dem Desktop erscheinen.

CVE-2025-9491 erlaubt es Hackern, die Darstellung solcher Verknüpfungen zu manipulieren. Nutzer sehen eine harmlos aussehende Datei, klicken darauf – und laden sich die Schadsoftware PlugX herunter, ein Fernwartungstool für Spionageangriffe.

Da diese Attacken primär über E-Mail-Links verbreitet werden, hat Microsoft offenbar seine Erkennungssysteme massiv verschärft. Die Algorithmen schlagen nun selbst bei komplexen, aber legitimen URL-Weiterleitungen Alarm – wie sie DocuSign für seine Dienste verwendet.

Entra ID: Keine fremden Skripte mehr erwünscht

Die Verschärfungen beschränken sich nicht auf E-Mails. Microsoft zieht auch bei seiner Identitätsplattform die Zügel an.

Ein Update der Content Security Policy für Microsoft Entra ID (ehemals Azure Active Directory) erlaubt künftig nur noch Skripte von vertrauenswürdigen Microsoft-Domains. Hintergrund sind “Script-Injection”-Angriffe, bei denen Hacker Schadcode in Anmeldeseiten einschleusen.

Megna Kokkalera, Produktmanagerin bei Microsoft, kündigte die Änderung am 19. November an: “Dieser Schritt verstärkt die Sicherheit durch eine zusätzliche Schutzebene, indem nur Skripte von vertrauenswürdigen Microsoft-Domains während der Authentifizierung ausgeführt werden dürfen.”

Die strikte Durchsetzung ist für Oktober 2026 geplant. Unternehmen, die ihre Anmeldeseiten mit externen Skripten angepasst haben, müssen ihre Systeme bis dahin überprüfen. Wieder zeigt sich: Microsoft setzt konsequent auf “Secure by Default” – wer von Standards abweicht, bekommt Probleme.

Smart App Control: Wenn Windows eigenständige Software blockiert

Auch auf Windows-11-Rechnern macht sich die Sicherheitsoffensive bemerkbar. Die Funktion Smart App Control nutzt KI-Algorithmen, um die Vertrauenswürdigkeit von Programmen zu bewerten – und blockiert im Zweifel lieber einmal zu viel.

Das Problem: Die Software arbeitet reputationsbasiert. Hat Microsoft eine Anwendung nicht oft genug “gesehen”, gilt sie als verdächtig. Das trifft besonders Open-Source-Tools und Nischensoftware wie das Automatisierungsprogramm Streamer.bot.

Anders als klassische Antivirenprogramme sucht Smart App Control nicht nach bekannten Schadsoftware-Signaturen. Stattdessen gilt: “Schuldig bis zur Unschuld bewiesen”. Für viele Nutzer bleibt nur die Option, die Funktion komplett zu deaktivieren – womit der Sicherheitsgewinn verpufft.

Die Rechnung für maximale Sicherheit

Die vergangenen drei Tage offenbaren ein Dilemma: Microsoft steht unter enormem Druck, Angriffsvektoren wie LNK-Exploits zu schließen. Die aktiven Angriffe durch UNC6384 zeigen, wie dringend Handlungsbedarf besteht.

Doch der Kollateralschaden ist beträchtlich. Blockierte Verträge, verschwundene E-Mails und gesperrte Produktivitätstools zeigen, wie schwierig die Balance zwischen Sicherheit und Nutzbarkeit ist.

Für IT-Abteilungen bedeutet das: Die Zeiten von “einmal einrichten und vergessen” sind vorbei. Quarantäne-Protokolle müssen täglich überprüft, Erlaubnislisten ständig aktualisiert werden. Windows-Sicherheit wird zunehmend misstrauisch gegenüber allem, was nicht explizit verifiziert wurde.

Microsoft dürfte die DocuSign-Erkennung in den kommenden Tagen nachbessern. Die Grundrichtung bleibt jedoch klar: Nur signierte, verifizierte Software mit nachweisbarer Reputation läuft künftig reibungslos. Unternehmen sollten ihre Software-Lieferketten prüfen und sicherstellen, dass kritische Anbieter Microsofts verschärfte Vertrauensstandards erfüllen.

PS: PlugX‑Taktiken und manipulierte LNK‑Verknüpfungen zeigen, wie Angreifer Alltagstools gezielt missbrauchen. Wer seine Schutzmaßnahmen nicht aktualisiert, riskiert Datenverlust und längere Betriebsstörungen. Der kostenlose Leitfaden erklärt in kompakten Kapiteln, wie Sie Angriffsvektoren erkennen, Anti‑Phishing‑Workflows implementieren und Mitarbeiter effektiv schulen — inklusive Vorlagen für Notfallpläne, die IT‑Teams sofort einsetzen können. Jetzt Gratis-Cybersecurity-Guide anfordern